Google傘下のサイバーセキュリティ企業Mandiantは、ロシアの脅威アクターSandwormが2022年に実行したサイバー攻撃の詳細を明らかにしました。この攻撃者は、ウクライナの重要インフラ組織に侵入し、運用技術(OT)環境を操作しました。その結果、大規模なミサイル攻撃と同時期に停電が発生しました。Sandwormは2日後、CADDYWIPERマルウェアの亜種を展開・実行することで、さらなる混乱を引き起こし、活動の証拠をすべて隠滅しようとしました。
このサイバー攻撃は、戦時下におけるOT攻撃の進化を示す顕著な例です。攻撃者にとって戦略的な立場にある企業は、いずれも同様の攻撃の標的となる可能性があります。
このサイバーセキュリティ攻撃のタイムライン
すべては2022年6月頃、Sandwormがウクライナの重要インフラ組織のIT環境へのアクセスに成功したことから始まりました。脅威アクターは、既知のWebシェルであるNeo-reGeorgを、被害者のインターネット接続サーバーに展開しました。約1か月後、グループは以前から使用していた既知のカスタムトンネリングソフトウェアであるGOGETTERを展開しました。このマルウェアは、標的のシステムと攻撃者のコマンド&コントロールサーバー間の通信をプロキシし、サーバーの再起動時にも永続的に存在できるようにしました。
マンディアントの研究者によると、脅威グループはその後、「被害者の変電所環境の監視制御およびデータ収集(SCADA)管理インスタンスをホストするハイパーバイザーを通じて」OT環境にアクセスし、攻撃者は最大3か月間SCADAシステムにアクセスしていた可能性があるという。
2022年10月10日、脅威アクターは突如としてシステム上でMicroSCADAコマンドを実行しました。この操作は、2つのスクリプトと1つのテキストファイルを含む仮想CD-ROMであるISOファイルを利用して実行されました。システムは、CD-ROMを挿入すると自動的に起動するように設定されていました。これらのファイルは、システム内でネイティブMicroSCADAバイナリであるscilc.exeを実行するために使用されました(図A)。
図A
MicroSCADAソフトウェアスイートの正規のscilc.exeファイルは、通常テキストベースのコマンドである監視制御実装言語(SCIL)で記述されたコマンドの実行を可能にします。Mandiantの研究者は、Sandowormによって実行されたSCILコマンドを特定することはできませんでしたが、これらのコマンドは被害者の変電所環境の回路遮断器を開き、被害者の変電所の電源を切断するために発行された可能性が高いと考えています。
マンディアントによれば、この攻撃により予定外の停電が発生したという。
この事件の2日後、攻撃者は標的の環境にCADDYWIPERマルウェアの新たな亜種をインストールし、さらなる混乱を引き起こし、作戦の発覚につながる可能性のあるフォレンジック証拠の削除を企てました。CADDYWIPERは、Sandwormがウクライナの標的に対して以前に使用し、複数の侵入における破壊的な作戦で確認されているデータ消去ソフトウェアです。報告された攻撃では、ワイパーは侵入されたSCADA仮想マシンのハイパーバイザーに到達しませんでした。これはMandiantによると異例のことです。セキュリティ研究者は、証拠の削除に失敗した理由は「攻撃に関与した複数の担当者または運用サブチーム間の連携不足に起因する可能性がある」と結論付けています。
参照:Google Cloud の 2024 年に注目すべきサイバーセキュリティのトレンド(TechRepublic)
サンドワームって誰ですか?
Sandworm は、ロシア連邦軍参謀本部情報総局軍事部隊 74455 に属するとされる破壊的な脅威アクターです。このグループは少なくとも 2009 年から活動しています。
サンドワームに関係する74455部隊の隊員6人が、ウクライナの電力会社や政府機関への攻撃、2017年フランス大統領選キャンペーンへの攻撃、2018年オリンピック大会へのオリンピック・デストロイヤー攻撃、2018年の化学兵器禁止機関に対する作戦、2018年と2019年のジョージアへの攻撃など、複数の作戦で2020年に起訴された。
サンドワームがロシアのOT指向の攻撃的サイバー能力を暴露
Mandiantによると、Sandwormの最新の攻撃は、同じくOTを標的としたIndustroyerインシデントなどのロシア発の過去の攻撃に加え、簡素化された導入機能を通じてOT攻撃能力を合理化しようとするロシアの取り組みを示している。研究者らは「OT指向の攻撃的サイバー能力とITシステムへの攻撃に対する総合的なアプローチへの継続的な投資」に言及している(図B)。
図B
Sandwormが使用する手法における重要な変更点の一つは、ネイティブのLiving Off The Landバイナリ(別名LotLBin)の使用です。現在では、通常のIT環境と同様にOT環境でも使用されています。この変更により、Sandworms攻撃に必要なリソースは減少したと考えられますが、一方で、防御側が不正行為を検知することはより困難になっています。
このサンドワーム攻撃のタイミングも興味深い。Mandiantの調査によると、攻撃者はOTインシデントの3週間前にこの破壊的な能力を開発していた可能性があるものの、その能力を展開する特定のタイミングを待っていた可能性がある。「最終的に攻撃が実行されたのは、被害者がいた都市を含むウクライナの複数の都市の重要インフラに対する、数日間にわたる一連の協調ミサイル攻撃の開始と重なっていた」とMandiantは記している。
このサイバーセキュリティの脅威から身を守る方法
セキュリティ管理者または IT プロフェッショナルは、サイバーセキュリティの脅威のリスクを軽減するために、次のヒントに従う必要があります。
- MicroSCADAおよびその他のSCADA管理ホストを強化します。これらのシステムは最新の状態に更新し、パッチを適用し、認証を必須とし、システムへのアクセスを必須ユーザーのみに制限するように設定する必要があります。
- SCADA システムと組織のネットワークの残りの部分の間にネットワーク セグメンテーションを導入します。
- ログ ファイルを中央サーバーに集約し、継続的に注意深く分析して、SCADA システムの不正使用や改ざんの可能性を検出します。
- SCADAシステムに関連するすべてのファイル転送を監視および分析します。SCADAの設定またはデータに疑わしい変更があった場合は、調査する必要があります。
- SCADA システムのセキュリティに影響を及ぼす可能性のある脆弱性や誤った構成を特定するために、定期的にセキュリティ監査を実施します。
- SCADA システムでセキュリティ インシデントやサイバー攻撃が発生した場合に復旧を容易にするために、定期的にバックアップを実行します。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
